鐵路專用數(shù)據(jù)網(wǎng)的組網(wǎng)和安全討論

黃險(xiǎn)峰

摘要 文章首先從理論角度出發(fā)，論述并分析了鐵路專用數(shù)據(jù)網(wǎng)的組網(wǎng)方式，指出其在邏輯結(jié)構(gòu)上能夠大體劃分為數(shù)據(jù)中心、核心層、匯聚層以及接入層，并且分析了各自的構(gòu)成特征和職責(zé)。而后就鐵路專用數(shù)據(jù)網(wǎng)的安全問(wèn)題展開(kāi)剖析，指出網(wǎng)內(nèi)數(shù)據(jù)隔離，即VPN的應(yīng)用，和網(wǎng)絡(luò)軟硬兩個(gè)層面的安全設(shè)置是維系專用數(shù)據(jù)網(wǎng)安全的生命線。

關(guān)鍵詞 鐵路；專用；數(shù)據(jù)網(wǎng)；組網(wǎng)；安全

中圖分類號(hào)TP392 文獻(xiàn)標(biāo)識(shí)碼A 文章編號(hào) 1674-6708（2012）67-0189-02

在鐵路系統(tǒng)中，數(shù)據(jù)的傳輸不僅僅為旅途中的乘客提供著必要的通信支持，更承擔(dān)著鐵路系統(tǒng)正常運(yùn)行所必需的數(shù)據(jù)傳輸任務(wù)。隨著列車(chē)行駛速度的不斷提升，以及多種數(shù)字技術(shù)的投入應(yīng)用，列車(chē)行駛過(guò)程中的數(shù)據(jù)傳輸成了確保列車(chē)安全運(yùn)行的一個(gè)重要因素，也正因?yàn)槿绱?，鐵路專用數(shù)據(jù)網(wǎng)的運(yùn)行和安全問(wèn)題才得到了更多的重視。

1 鐵路專用數(shù)據(jù)網(wǎng)的組網(wǎng)方式

從鐵路專用數(shù)據(jù)網(wǎng)的邏輯構(gòu)成角度看，其由下至上可以大致劃分為接入層、匯聚層、核心層以及數(shù)據(jù)中心幾個(gè)主要層面。

從北京鐵路局專用數(shù)據(jù)網(wǎng)的邏輯結(jié)構(gòu)上看，相對(duì)于數(shù)據(jù)中心的北京鐵路局網(wǎng)絡(luò)中心，負(fù)責(zé)對(duì)三個(gè)核心層面的子網(wǎng)進(jìn)行必要的協(xié)調(diào)，并且實(shí)現(xiàn)同種協(xié)議的子網(wǎng)間數(shù)據(jù)傳輸。對(duì)于核心層而言，北京鐵路局專用數(shù)據(jù)網(wǎng)包括了三個(gè)主要區(qū)域的子網(wǎng)，子網(wǎng)的核心共同構(gòu)成了整個(gè)數(shù)據(jù)網(wǎng)的核心層，即北京鐵路局下屬的專用數(shù)據(jù)網(wǎng)由北京數(shù)據(jù)網(wǎng)、天津數(shù)據(jù)網(wǎng)以及河北數(shù)據(jù)網(wǎng)。核心層是整個(gè)專用數(shù)據(jù)網(wǎng)的核心部分，由路由器和三層交換機(jī)構(gòu)成，通常在設(shè)備選用的時(shí)候傾向于千兆位分布交換式路由器，妻交換容量為128Mb/s，隨著技術(shù)的發(fā)展，核心層的設(shè)備改進(jìn)步伐也比較快，將會(huì)呈現(xiàn)出緊隨科技發(fā)展的趨勢(shì)。同時(shí)從核心網(wǎng)絡(luò)的傳輸介質(zhì)看，通常在早期就已經(jīng)采用了光纖傳輸?shù)募夹g(shù)，并且隨著光復(fù)用技術(shù)的逐步完善，核心網(wǎng)絡(luò)能夠承受的數(shù)據(jù)流量也不斷增強(qiáng)，從總體上能夠滿足未來(lái)很長(zhǎng)一段時(shí)間內(nèi)數(shù)據(jù)量的增加。

匯聚層負(fù)責(zé)對(duì)接入層上報(bào)的業(yè)務(wù)進(jìn)行匯聚整理。由于匯聚層的網(wǎng)絡(luò)劃分以地理上的區(qū)域?yàn)闇?zhǔn)繩，因此對(duì)于一些區(qū)域內(nèi)的數(shù)據(jù)傳輸請(qǐng)求，匯聚層可以實(shí)現(xiàn)自行處理，而不必提交到核心網(wǎng)絡(luò)中。對(duì)于匯聚層而言，網(wǎng)絡(luò)的邏輯拓?fù)浣Y(jié)構(gòu)采取星形進(jìn)行組織，在設(shè)備方面，多采取常規(guī)路由器、三層交換機(jī)以及DSLAM等。在網(wǎng)絡(luò)傳輸介質(zhì)上，目前多為光銅混合網(wǎng)絡(luò)，主要是針對(duì)目前呈現(xiàn)出的需求特征來(lái)對(duì)已經(jīng)存在的銅網(wǎng)進(jìn)行必要的升級(jí)。

而對(duì)于接入層，即直接接收用戶的數(shù)據(jù)傳輸請(qǐng)求的網(wǎng)絡(luò)層，通常設(shè)定在鐵路沿線，在二三等站中，通常都只存在有接入設(shè)備。同樣采取星形拓?fù)浣Y(jié)構(gòu)為網(wǎng)絡(luò)的邏輯結(jié)構(gòu)，多利用N×E1信道接入到匯聚層。該層面通常由普通路由器、二層交換機(jī)以及DSLAM等設(shè)備構(gòu)成。

2 鐵路專用數(shù)據(jù)網(wǎng)的安全實(shí)現(xiàn)

鐵路用專用數(shù)據(jù)網(wǎng)是一個(gè)用于數(shù)據(jù)傳輸?shù)奈锢砥脚_(tái)，其中不同部門(mén)的多種數(shù)據(jù)都需要利用該平臺(tái)進(jìn)行傳送，并且從整體上看，鐵路專用數(shù)據(jù)網(wǎng)還處于一種半開(kāi)放的狀態(tài)之下。鑒于此種情況，為了確保不同的部門(mén)和用戶之間能夠?qū)崿F(xiàn)正確有效以及安全的數(shù)據(jù)傳輸，有必要針對(duì)鐵路專用數(shù)據(jù)網(wǎng)的應(yīng)用狀態(tài)以及安全防范展開(kāi)必要的分析。

首先，鐵路專用數(shù)據(jù)網(wǎng)內(nèi)部的數(shù)據(jù)傳輸隔離技術(shù)早已成為必需。網(wǎng)內(nèi)隔離技術(shù)，能夠確保鐵路工作環(huán)境中的不同部門(mén)在進(jìn)行數(shù)據(jù)傳輸?shù)倪^(guò)程中僅面對(duì)一個(gè)專用的邏輯網(wǎng)絡(luò)，而非一個(gè)物理上的綜合網(wǎng)絡(luò)傳輸系統(tǒng)。目前常見(jiàn)的網(wǎng)內(nèi)隔離技術(shù)包括有L2TP VPN、GRE VPN、IPSecVPN、SSL VPN、MPLS VPN等技術(shù)，并且以MPLS VPN技術(shù)相對(duì)成熟，我國(guó)鐵路專用數(shù)據(jù)網(wǎng)也采用了此種技術(shù)。MPLS VPN技術(shù)存在相對(duì)完善的行業(yè)標(biāo)準(zhǔn)，且互通性良好，適合大規(guī)模使用。使用MPLS VPN技術(shù)，能夠?qū)崿F(xiàn)較為簡(jiǎn)潔的應(yīng)用，用戶不需要進(jìn)行IP路由管理和骨干網(wǎng)管理，對(duì)于PE或P路由器的接入以及CE路由問(wèn)題也可以采取完全透明的態(tài)度。同時(shí)，MPLS VPN對(duì)于IP的管理相對(duì)靈活，在VPN構(gòu)建的過(guò)程中，對(duì)于IP的部署和現(xiàn)有二層骨干網(wǎng)支持的安全程度相當(dāng)。此外，MPLS技術(shù)的報(bào)頭校驗(yàn)對(duì)于網(wǎng)內(nèi)正確傳輸數(shù)據(jù)也意義重大。

其次，從網(wǎng)絡(luò)軟環(huán)境管理的角度看，也亟待提高其工作水平。只有對(duì)整個(gè)網(wǎng)絡(luò)正確的使用，才能進(jìn)一步確保網(wǎng)絡(luò)環(huán)境的安全。針對(duì)目前可能存在的網(wǎng)絡(luò)資源濫用問(wèn)題，應(yīng)當(dāng)對(duì)每個(gè)涉及網(wǎng)絡(luò)操作的人員都分配權(quán)限，尤其是可能接觸到鐵路系統(tǒng)數(shù)據(jù)VPN的工作人員更應(yīng)當(dāng)謹(jǐn)慎。對(duì)于權(quán)限的管理，應(yīng)當(dāng)依據(jù)一定的規(guī)章制度，并且采取動(dòng)態(tài)或半動(dòng)態(tài)口令配合管理。對(duì)于實(shí)際的操作而言，還有一個(gè)必須要做的方面就是相應(yīng)人員的培訓(xùn)，對(duì)于網(wǎng)絡(luò)的使用，不應(yīng)當(dāng)僅僅了解操作步驟，對(duì)于相關(guān)設(shè)備的原理和簡(jiǎn)單故障的定位和排除也要進(jìn)行相應(yīng)的了解。并且還需要在完善人員素質(zhì)的基礎(chǔ)上，對(duì)網(wǎng)絡(luò)做好必要的軟件層面監(jiān)控，相應(yīng)的數(shù)據(jù)和參數(shù)應(yīng)當(dāng)及時(shí)加以分析，并且通過(guò)軟件設(shè)定預(yù)警，增進(jìn)整個(gè)通信網(wǎng)絡(luò)的健壯性。

最后，還需要從硬件上加以重視，完善整個(gè)網(wǎng)絡(luò)的安全。其中包括網(wǎng)管系統(tǒng)的安全、路由的選擇和配置、核心以及匯聚節(jié)點(diǎn)設(shè)備冗余配置、接入層設(shè)備鏈路雙歸屬以及數(shù)據(jù)傳輸通道保護(hù)等眾多問(wèn)題。在實(shí)際的操作過(guò)程中，除了針對(duì)硬件的設(shè)定實(shí)施必要的保護(hù)，對(duì)于各種硬件的驅(qū)動(dòng)設(shè)備以及控制程序也必須加以重視。常用端口和默認(rèn)口令都必須要進(jìn)行更改，這些都常常會(huì)成為攻擊的目標(biāo)。

從鐵路專用數(shù)據(jù)網(wǎng)的安全角度看，是一個(gè)需要長(zhǎng)期堅(jiān)持并不斷完善的過(guò)程。只有在實(shí)際中堅(jiān)持不懈的努力，才能確保整個(gè)網(wǎng)絡(luò)安全運(yùn)行并發(fā)揮應(yīng)有的作用。

參考文獻(xiàn)

[1]于佳亮，于天澤.鐵路通信網(wǎng)概論[M].北京:人民郵電出版社，2009.

[2]TB 10087-2010-J 977-2010 鐵路數(shù)據(jù)通信網(wǎng)設(shè)計(jì)規(guī)范[S].

[3]TB 10006-2005 鐵路運(yùn)輸通信設(shè)計(jì)規(guī)范[S].

[4]夏德春，李敏，余京梅.適合高速鐵路的數(shù)據(jù)網(wǎng)方案[J].鐵道通信信號(hào)，2005(11).

[5]毛積綱.鐵路地區(qū)用戶接入網(wǎng)的規(guī)劃和實(shí)施[J].鐵道運(yùn)營(yíng)技術(shù)，1999(3).